martes, 2 de diciembre de 2008

Robo de Identidad

CLARIN - 2/7/2007
Cómo prevenir el robo de identidad
Es un delito que creció en la era de la informática, pero que no es excluyente de los soportes tecnológicos. Tiene consecuencias que se inscriben tanto en el ámbito económico como en el de la salud. En las Jornadas de Seguridad Informática realizadas en la UTN brindaron claves y consejos para protegerse del robo de identidad.
El abogado Facundo Malaureille Peltzer, especializado en datos personales y seguridad de la información, disertó en las Jornadas de Seguridad Informática llevadas a cabo en la UTN Facultad Santa Fe.El especialista se refirió al robo de identidad, definiéndolo como "aquella situación donde una persona se apropia indebidamente de los datos que identifican a otra y los utiliza para realizar algún tipo de actividad delictiva, por ejemplo, una estafa".En la actualidad, los casos que más impacto tienen son los referidos al mundo del crédito, por ejemplo, cuando extraen datos de una persona vía Internet o sustraen sus documentos; luego, el estafador se presenta con la tarjeta de crédito y el DNI en un comercio o hace operaciones a través de la red, tales como extracciones o transferencias, en nombre del otro. "Por ese lado es donde se ve el mayor impacto explicó Malaureille- porque son delitos que hunden el crédito y complican más aún lo que son las actividades crediticias y bancarias. Pero, en verdad, los datos obtenidos en forma ilícita pueden ser utilizados también con otros fines. En EE.UU., por ejemplo, a través del robo del número de seguridad social, los hackers acceden a prestaciones o estudios médicos usando la identidad de otros. Lo más complicado es que, después, al titular le figuran estudios u operaciones que nunca se hizo. Las consecuencias, entonces, van hacia otros ámbitos, como el de la salud, no sólo al crédito".
Cuando dar los datos personales es peligroso
El especialista remarcó que detrás de todas estas maniobras hay gente que sabe lo que hace, mientras que el usuario común desconoce quién puede estar detrás de una pantalla: "Cuando uno recibe un e-mail o un mensaje, no sabe quién está realmente detrás del mismo. Hay que generar mayor conciencia sobre qué significa dejar datos personales en un determinado lugar. Las personas tienen que saber lo que están haciendo: uno no se pone a pilotear un avión sin antes aprender a manejarlo. Así, un señor de otra generación a lo mejor está frente a una computadora y cree que es una pavada contestar un e-mail y mandar sus datos. Y quizás no tiene conciencia de cuáles son las consecuencias".Otro de los delitos que se registraron en este ámbito son los que apuntan hacia las bases de datos de las consultoras de recursos humanos: "Cuando uno busca trabajo, deja su vida en las consultoras de RR.HH. Y en la Argentina hemos trabajado mucho en empresas de este tipo porque suelen solicitar datos que son innecesarios (por ejemplo, cuánto pretende ganar o cuánto gana el aplicante en la actualidad). Tendrían que confeccionarse planillas con campos de llenado obligatorio y otros alternativos, y diferenciarlos con un asterisco, así se brinda la posibilidad de optar. El problema más grave es que en las consultoras de RR.HH., por lo general, no existe ningún tipo seguridad. Un hacker puede meterse en estas bases de datos mucho más rápido de lo que lo hace en las de un banco (donde sí se ha abordado mucho sobre el tema de la seguridad informática). Por eso estamos trabajando para que todas estas empresas se adapten a la ley de hábeas data".
Al resguardo de los datos
Si bien el principio que regula el tema de la protección de datos es el Derecho de Autorregulación Informativa -es decir, uno autodetermina qué información quiere dar y a quién en función de la seguridad que le brinda el otro-, es la Ley Nacional de Hábeas Data Nº 25.326 del año 2000, con su decreto reglamentario de un año más tarde, la herramienta legal para que las personas puedan informarse sobre datos referidos a ellos y el propósito de su recolección en bancos o registros de datos, públicos o privados. También hay disposiciones sancionadas por la autoridad de control, la Dirección Nacional de Datos Personales, como la Disposición 11 de 2006. "Esta disposición tipifica todas las medidas de seguridad que las empresas que han registrado sus bases de datos tienen que adoptar", explicó el profesional. "Pero hoy en día hay sólo unas 25.000 entidades que inscribieron sus bases de datos, mientras que las empresas que están operativas son alrededor de 200.000 (sólo en la ciudad de Buenos Aires). Evidentemente, el número de bases de datos inscriptas debería ser mucho mayor, porque estamos hablando de una ley nacional que hay que cumplir. Pero, por un lado, muchos todavía no entienden que la norma no vino a complicarles la vida, sino a proteger sus datos. Y, por el otro, es una realidad que hay gente que desconoce la existencia de esta ley. Por eso hay que hacer un esfuerzo por difundirla. Creo que, si fuéramos todos más concientes de la existencia de este tipo de normativas, a los delincuentes se les irían cerrando las puertas".De todos modos, el especialista reconoció que hay una demanda clarísima en el mundo de la informática que apunta a que los legisladores sancionen una ley al respecto: "Hay muchos proyectos de delitos informáticos dando vueltas en el Congreso desde hace años y nada sale. Hoy en día, la persona que comete un crimen por Internet no puede ser castigada porque en el Código Penal argentino el delito no está específicamente contemplado".
No sólo a través de la informática
Si bien las formas más modernas de este tipo de ilícitos están relacionadas con la tecnología (porque es más difícil saber quién está del otro lado), también hay que ser conscientes de que los robos de datos y de identidad no sólo se dan a través de soportes informáticos. Tal como lo explicaba el Dr. Malaureille: "Quizás uno rompe un contrato o una nota que le sale mal en la impresora y la tira al tacho de basura. Y después, como es muy común hoy en día, viene alguien y te la revisa. Por más que uno se proteja con fireworks y tenga todo encriptado en la computadora, hay otras formas de filtrar información confidencial".De hecho, hace pocos días, el Banco HSBC de Inglaterra admitió haber perdido datos de 370.000 clientes que estaban en un disquete, el cual había sido enviado con un cadete... ¿Habrán tenido miedo de mandarlo por Internet?
En Argentina
En el año 2006 se fugaron datos de 12 millones de personas del Anses. Después de un año y medio, el juez que intervino, Dr. Julián Ercolini, logró procesar a un funcionario y a una empresa de informes comerciales de Córdoba, y elevar la causa a juicio. Alguien que, con los pocos elementos legales con que cuenta nuestro país, pudo hacer algo.

Las formas más comunes para robar información a las personas
Un informe elaborado por un sitio argentino especializado en el roo de identidad asegura que el 50% de las quejas que recibe son por usurpación de identidad. Las modalidades más denunciadas y los trucos más comunes
La usurpación de identidad El robo de identidad es el delito de más rápido crecimiento en el mundo. Hasta no hace mucho tiempo, cuando un ladrón nos robaba la billetera o porta documentos, el dinero era lo único que pretendía. Eso esta cambiando, ahora lo más valioso es el número de DNI, la tarjeta de cajero crédito, de débito, los cheques y cualquier otro documento que contenga sus datos personales. En el transcurso de un día normal, usted divulga esta información al hacer transacciones en persona, por teléfono y online para efectuar la compra de productos y servicios. Si esta información confidencial cae en manos de un delincuente, podría utilizarse para robarle su identidad financiera y realizar muchas de las actividades en nombre suyo.Nadie esta a salvo de este delito ni podemos tener la certeza de que nunca le robarán su identidad, lo importante es conocer los métodos existentes para reducir las probabilidades de que usted se convierta en una víctima y qué medidas puede tomar si llegara a ocurrir.En el 50% de los casos denunciados sobre robo de identidad, el mismo se había realizado en empresas de telefonía celular. La modalidad fue la siguiente:Alguien se presenta en la empresa y, utilizando un documento apócrifo compra un teléfono celular, el cual es cargado en la cuenta de la victima, a la cual le llegara la factura para su posterior pago.En este caso, los damnificados hacen hincapié en las deficiencias para identificar y verificar la identidad de la persona, comentan que la empresa de telecomunicaciones no toma ningún recaudo y que no pueden tener una base de datos con todos los clientes. En uno de los casos, la victima era cliente y comentó que deberían haberse asegurado si era la persona correcta la que realizaba la transacción, dado que ellos tenían en su poder su fotocopia del DNI.Robo de contraseñasEl robo de contraseñas es otra de las modalidades que esta en aumento. En algunos de los casos se utilizan para enviar mensajes usurpando la identidad de la victima y en otros, como en el phishing, para poder ingresar en las cuentas de home banking de los clientes y realizar transferencias del dinero a un tercero.Si bien todavía no existen damnificados por casos de phishing en la Argentina, en lo que va del año ocho entidades bancarias han sido victimas de esta nueva modalidad delictiva.Secuestro de archivos a cambio de rescateLa modalidad de trabajo es la siguiente: el código malicioso infecta la computadora del usuario por los medios normalmente utilizados por cualquier malware y procede a cifrar los documentos que encuentra (los de uso diario), eliminando la información original y dejando un archivo de texto con las instrucciones para recuperarlos. Los delincuentes posteriormente solicitan una recompensa para liberar los archivos cifrados.Amenazas por InternetLas amenazas por Internet se están convirtiendo en un hecho casi cotidiano. Las denuncias hacen especial hincapié en las amenazas anónimas en foros, fotologs y blogs de la red. En muchos de las denuncias, éstas llegan a causar perjuicios a nivel personal y laboral muy difíciles de superar, llegando incluso a provocar la ruptura de parejas. Datos personalesLa solicitud y recolección de datos a través de Internet no cumple, en la mayoría de los sitios con la ley de protección de datos personales. La misma, en su artículo seis obliga a los que recolecten datos a proporcionar al titular de los datos personales la información relativa a la finalidad, destinatarios, existencia de archivos, carácter obligatorio o facultativo de las respuestas, etc.